由左至右分别为Google威胁情资副总裁Sandra Joyce、Google威胁情资首席分析师John Hultquist、Google Cloud资安长办公室资深总监Iain Mulholland、Mandiant Consulting技术长Charles Carmakal
近年来中国对台网路攻击力道不仅未减,更持续将攻击目标扩及全球多国政府与民间企业。在美国RSAC 2025资安会议期间,Google在一场针对媒体的资安情资分享会上,将所有讨论焦点都放在中国与北韩问题上,而丝毫未提苏俄与伊朗,就充分显现中国威胁已成为全球资安最重大的课题。
资安业界堪称APT(Advanced Persistent Threat)调查专家的Mandiant,在过往举办的资安情资分享会上,通常都会揭露苏俄、中国、伊朗及中国等网攻四大寇的最新攻击手法,不过,在今年四月底这场情资分享会上,主持座谈的Google威胁情资副总裁Sandra Joyce(曾是Mandiant执行副总裁),一开场就直接切入中国网路攻击的问题,她说:「中国近年来持续展现出最有创新性的网路攻击手法。」如今,中国针对西方国家所发动的网路间谍攻击行动,不论是数量与强度,都达到了空前的高峰。
自从Mandiant在2013年发布APT 1报告,揭露驻扎于上海市浦东新区的中国人民解放军61398部队就是中国的网路攻击部队之后,Mandiant Consulting技术长Charles Carmakal指出,中国一直持续发动网路间谍攻击,而且即便美国前总统欧巴马在2015年与中国签署互不入侵对方企业网路窃取商业机密的协议,也无助于缓解情势,他表示,时至今日,中国针对西方企业的网路攻击与间谍入侵行动,在数量与强度上都飙升到了前所未有的程度。
Carmakal指出,现今中国网路攻击锁定的目标,几乎都是中国政府感兴趣的对象,比如半导体公司、资讯科技公司、电信公司、政府机关及国防承包商等。如今中国的网路攻击手法已经不像2015年前那样大范围胡乱扫射,而是更聚焦在与中国国家战略目标高度相关的特定产业与特定组织机构。
近年来中国网路攻击行动已经不再仰赖钓鱼邮件等传统入侵手法,转而先研究各类资讯产品的漏洞,尤其是一些企业网路与资安防护产品,再利用这些漏洞进行更致命、更难察觉的零时差攻击(Zero-day exploit)。
据Google的调查,中国政府主要透过二种方法掌握资讯产品的漏洞,Carmakal指出,第一种方法是直接购买这些资讯科技产品,透过逆向工程方式进行研究,以找到产品的弱点与软体弱洞;另一种方式则是透过中国法律独有的「国有漏洞」制度,据2021年中国发布的《网路产品安全漏洞管理规定》,任何中国公民发现某个产品存在资安漏洞,必须向政府通报,而且不得将未公开的漏洞资讯提供给供应商以外的境外组织与个人,也就是说,任何由中国人民发现的资安漏洞,都将被政府所掌握。
Google威胁情资首席分析师John Hultquist则指出,中国甚至在国内大规模举办漏洞发掘竞赛,让参赛者彼此竞争,以找出更多商用资讯产品的漏洞。
目前已经有多起事件显示资讯科技公司遭中国骇客入侵潜伏,Carmakal指出,有好几家资讯科技公司的内部团队发现了自家产品资安漏洞之后,遂将相关细节记录在公司内部的Jira软体开发专案管理平台或漏洞追踪平台,以便进行后续修补追踪。然而,Google的团队却发现,在这些资讯被记载后的一至两周内,中国骇客组织就已经迅速将这些漏洞「武器化」,据以发展出恶意程式,并且开始发动网路攻击,而此时资讯产品原厂甚至还不知情,也来不及释出修补更新。Carmakal表示,由于近来这类事件屡见不鲜,必须格外密切关注。
Hultquist进一步表示,更让人担心的是中国政府已经建立一个完整的生态系统来支援网路攻击行动。这个生态系统涵盖了各种参与者—包括民间承包商、学术界人士和政府官员等,而这个生态系彼此协调一致的程度,就好像是共同参与一个謓密的弹道飞弹开发计划,只不过目的是开发网路攻击所需的各种能力,然后回馈给政府使用。
这些能力包括发掘零时差漏洞,甚至建立用来进行指挥与控制(Command and Control, C2)网路攻击行动的基础设施。这其中有些承包商可能专门负责建构用来执行C2操作的网路基础设施,再提供给多个骇客攻击组织共用。另外也有些承包商,专门依据来自政府的委托执行网路入侵行动,而且可能同时替多个委托单位工作。
在这个生态系统中,有些攻击者会以最简单、最直接的方法来入侵目标系统,只要达成目的就好。但也有一批很顶尖的高手,例如第一手掌握零时差漏洞、专门针对供应链发动攻击的攻击者,Hultquist指出:「这些人才是真正让我们担忧,必须特别警戒的对象。因为他们也可能是政府最期待看到成果的团队,也会被要求持续维持高度的攻击能力。」
此外,Google Mandiant还观察到西方国家的资讯科技公司遭受到越来越频繁的攻击,尤其是规模中型的公司,而他们的产品却广泛地被大型企业所使用。攻击者利用这些资讯科技公司的产品漏洞、网路存取权限、数位凭证,或是其他各种手段,来入侵他们的下游客户,也就是那些大型企业,以达到供应链攻击的目的。
现在这种类型的供应链攻击趋势仍在持续升高,Hultquist提出警告:「这个庞大的生态系统正不断被灌溉滋养而持续扩张,这导致我们很难全面追踪这么多的威胁。」而这个正在快速恶化的问题,也让整体资安防御工作变得更加困难,尤其是对手的技术越来越先进,影响范围越来越大,不得不提高警觉。